netstat -an-o命令能看到所有和本地主機建立連接的IP,它包含四個部分——proto(連接方式)、localaDDRess(本機IP)、foreignaddress(和本地建立連接的IP)、state(當前通訊Port狀態)。通過這個命令的詳細訊息,我們就可以完全監控主機上的連接,從而達到控制主機的目的。
1.確定網路沒有正常對外連線情況:
開始→執行→輸入cmd→在DOS畫面中輸入netstat -an -o(注意空格)
2.關於它的具體意思:
例如:TCP 192.168.0.56:2150 221.130.44.194:80 ESTABLISHED 2860
proto(連接方式)指:協議類型,主要含tcp,udp
local address(本機IP):本地ip是192.168.0.56,2150是你電腦所開的連線Port。
foreign address(和本機建立連接的IP):當你訪問一些網站,網站中的每個內容比如圖片、flash等都要單獨建立一個連接,也會連接你的電腦。正常網頁使用的通訊Port應為80。
state(當前連接狀態):
TIME_WAIT:的意思是結束了這次連接 (例如:如果瀏覽網頁完畢,那就變為TIME_WAIT狀態)
LISTENING:正在監聽 只有tcp通訊Port才可以這樣開放(如果是udp的話,那麼肯定是木馬) 。
ESTABLISHED:正在共享,表示兩者連接著。
CLOSE_WAIT:連接並沒有正確關閉 依然是處於等待應用程序等待關閉(CLOSE_WAIT)的情況中如果一直都處於CLOSE_WAIT狀態,有可能是應用程序異常退出並且沒有恰當地處理這個異常。
SYN_SENT:表示請求連接,當你要訪問其它的主機的服務時首先要發個同步信號給該通訊Port,此時狀態為SYN_SENT,如果連接成功了就變為ESTABLISHED,此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出,那你的機器可能中了衝擊波或震盪波之類的病毒了。這類病毒為了感染別的主機,它就要掃描別的主機,在掃描的過程中對每個要掃描的主機都要發出了同步請求,這也是出現許多SYN_SENT的原因。
PID:範例中最後的數值2860即為PID
3.辨別是否是木馬或惡意程式,得用一個命令
開始→執行→輸入cmd→在DOS畫面中輸入tasklist
對照PID執行的軟體是否為你主機常駐執行的程式,若不是,而且你的電腦又沒執行其他程式,那它就是木馬或惡意程式了
|
